CN107920067B - 一种主动对象存储系统上的入侵检测方法 - Google Patents

一种主动对象存储系统上的入侵检测方法 Download PDF

Info

Publication number
CN107920067B
CN107920067B CN201711118351.2A CN201711118351A CN107920067B CN 107920067 B CN107920067 B CN 107920067B CN 201711118351 A CN201711118351 A CN 201711118351A CN 107920067 B CN107920067 B CN 107920067B
Authority
CN
China
Prior art keywords
information
dependency relationship
tracing information
tracing
intrusion detection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201711118351.2A
Other languages
English (en)
Other versions
CN107920067A (zh
Inventor
谢雨来
冯丹
荣震
廖雪龙
秦磊华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huazhong University of Science and Technology
Original Assignee
Huazhong University of Science and Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huazhong University of Science and Technology filed Critical Huazhong University of Science and Technology
Priority to CN201711118351.2A priority Critical patent/CN107920067B/zh
Publication of CN107920067A publication Critical patent/CN107920067A/zh
Application granted granted Critical
Publication of CN107920067B publication Critical patent/CN107920067B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Abstract

本发明公开了一种主动对象存储系统上的入侵检测方法,属于计算机网络安全领域,包括:使用主动对象存储系统中的审计功能监控应用程序,获取审计日志信息,根据审计日志信息得到应用程序调用的系统调用信息;根据系统调用信息得到应用程序的溯源信息;对溯源信息并行的进行入侵检测,得到检测结果,当检测结果异常时,说明主动对象存储系统被入侵,当检测结果正常时,说明主动对象存储系统安全。本发明在主动对象存储系统上收集溯源信息,使得入侵检测效率高、入侵检测准确率较高。

Description

一种主动对象存储系统上的入侵检测方法
技术领域
本发明属于计算机网络安全领域,更具体地,涉及一种主动对象存储系统上的入侵检测方法。
背景技术
溯源数据是一种用来描述对象历史数据的元数据。利用溯源数据可以实现很多新的功能,包括实验文档、安全、搜索和程序调试等。因此,很多学术研究机构构建了收集溯源的系统。目前主流的溯源信息收集系统,比如PASS系统只能收集系统本身上的溯源信息,很难收集其他系统的溯源信息,主动对象存储系统是现在主流的存储系统,PASS系统很难收集主动对象存储系统中的溯源信息进行入侵检测。
网络安全问题越来越严重,个人信息泄密事件频繁发生,目前用于实时入侵检测的方法有很多,采用的方法更多的是对以前入侵检测算法的改进,或者说是通过对硬件的升级来加快入侵检测的效率,然而,现有技术存在入侵检测效率低、入侵检测误检率较高的技术问题。
发明内容
针对现有技术的以上缺陷或改进需求,本发明提供了一种主动对象存储系统上的入侵检测方法,由此解决现有技术存在入侵检测效率低、入侵检测误检率较高的技术问题。
为实现上述目的,本发明提供了一种主动对象存储系统上的入侵检测方法,包括:
(1)使用主动对象存储系统中的审计功能监控应用程序,获取审计日志信息,根据审计日志信息得到应用程序调用的系统调用信息;根据系统调用信息得到应用程序的溯源信息;
(2)对溯源信息并行的进行入侵检测,得到检测结果,当检测结果异常时,说明主动对象存储系统被入侵,当检测结果正常时,说明主动对象存储系统安全。
进一步的,步骤(1)还包括删除重复的溯源信息,消除溯源信息中的循环。
进一步的,系统调用信息包括read系统调用信息、write系统调用信息、fork系统调用信息、open系统调用信息和rename系统调用信息。
进一步的,溯源信息包括used依赖关系、wasGeneratedBy依赖关系、wasControlledBy依赖关系、wasTriggeredBy依赖关系和wasDerivedFrom依赖关系。
进一步的,根据系统调用信息得到应用程序的溯源信息包括:
对于read系统调用信息,根据Process_read函数得到进程对象和文件对象的溯源信息为used依赖关系,used依赖关系表示进程对象依赖于文件对象;
对于write系统调用信息,根据Process_write函数得到进程对象和文件对象的溯源信息为wasGeneratedBy依赖关系,wasGeneratedBy依赖关系表示文件对象依赖于进程对象;
对于fork系统调用信息,根据Process_fork函数得到进程对象和进程对象的溯源信息为wasTriggeredBy依赖关系,wasTriggeredBy依赖关系表示一个进程对象依赖于另外一个进程对象;
对于open系统调用信息,根据Process_open得到进程对象和文件对象的溯源信息为used依赖关系,used依赖关系表示进程对象依赖于文件对象;
对于rename系统调用信息,根据Process_rename得到进程对象和文件对象的溯源信息为wasDerivedFrom依赖关系,wasDerivedFrom依赖关系表示一个文件对象依赖于另外一个文件对象。
进一步的,入侵检测的具体实现方式为:
根据正常溯源信息建立规则库,判断溯源信息是否属于规则库,如果属于规则库则认为是检测结果正常,如果不属于规则库则根据溯源信息查找多条路径,得到每条路径的判决值,如果某条路径的判决值大于判决值阈值则认为该条路径的活动是异常活动,检测结果异常,如果某条路径的判决值小于判决值阈值则认为该条路径的活动是正常活动。
总体而言,通过本发明所构思的以上技术方案与现有技术相比,能够取得下列有益效果:
(1)本发明使用主动对象存储系统中的审计功能监控应用程序,获取审计日志信息,根据审计日志信息得到应用程序调用的系统调用信息;根据系统调用信息得到应用程序的溯源信息;解决了以往溯源信息收集方法无法在主动对象存储系统上收集溯源信息的缺点;使得入侵检测效率高、入侵检测准确率较高。
(2)本发明相比一些现有的入侵检测方法,利用了主动对象的概念,对溯源信息并行的进行入侵检测,减少了溯源信息的传输时间,提高了入侵检测的效率,同时入侵检测准确率较高。
附图说明
图1是本发明实施例提供的一种主动对象存储系统上的入侵检测方法的流程图;
图2是本发明实施例提供的系统调用分析图;
图3是本发明实施例提供的OPM模型图;
图4是本发明实施例提供的入侵检测算法流程图;
图5是本发明实施例提供的主动对象存储系统入侵检测流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。此外,下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。
图1是本发明实施例提供的一种主动对象存储系统上的入侵检测方法的流程图,包括以下步骤:
(1)主动对象存储系统溯源收集步骤:
主动对象存储系统溯源收集又分为以下子步骤:
(11)监控应用程序:
使用主动对象存储系统中的审计功能监控应用程序,获取审计日志信息,根据审计日志信息得到应用程序调用的系统调用信息;
(12)分析系统调用信息:
如图2所示为根据系统调用信息来做不同的分析的流程图。
对于read系统调用信息,根据Process_read函数得到进程对象和文件对象的溯源信息为used依赖关系,used依赖关系表示进程对象依赖于文件对象;
对于write系统调用信息,根据Process_write函数得到进程对象和文件对象的溯源信息为wasGeneratedBy依赖关系,wasGeneratedBy依赖关系表示文件对象依赖于进程对象;
对于fork系统调用信息,根据Process_fork函数得到进程对象和进程对象的溯源信息为wasTriggeredBy依赖关系,wasTriggeredBy依赖关系表示一个进程对象依赖于另外一个进程对象;
对于open系统调用信息,根据Process_open得到进程对象和文件对象的溯源信息为used依赖关系,used依赖关系表示进程对象依赖于文件对象;
对于rename系统调用信息,根据Process_rename得到进程对象和文件对象的溯源信息为wasDerivedFrom依赖关系,wasDerivedFrom依赖关系表示一个文件对象依赖于另外一个文件对象。
`(13)溯源信息处理:
有时系统调用可能会被重复调用,比如当一个进程读取一个大文件时,这时就会多次调用read系统调用,会产生多次重复的溯源信息,对于重复的溯源信息应该删除,只保留其中的一条溯源信息即可。同时,溯源信息中可能会产生循环,对于溯源信息中的循环,应该消除溯源信息中的循环。
(14)溯源信息存储:
采用数据库的方式来存储溯源信息,溯源信息主要包含两个部分,分别是身份信息和祖先关系。身份信息就是每个对象的信息,采用vertex数据库来存储,数据库中的每一行表示一个溯源对象,祖先信息是对象之间的依赖关系,使用edge数据库来存储,每一行表示一条溯源依赖关系。
(15)负载均衡
入侵请求下放到各个OSD(Object-based Storage Device,对象存储设备)当中需要事先做负载均衡操作,处理能力强的OSD处理更多的入侵检测请求,处理能力弱的OSD相对来说处理较少的入侵检测请求。
(2)主动对象存储系统入侵检测步骤:
对溯源信息并行的进行入侵检测,得到检测结果,当检测结果异常时,说明主动对象存储系统被入侵,当检测结果正常时,说明主动对象存储系统安全。主动对象存储系统入侵检测步骤又分为以下子步骤:
(21)生成规则库:
根据应用程序正常溯源信息生成规则库;
(22)入侵请求下放:
根据OSD数量将入侵检测请求下放到各个OSD当中,然后将各个OSD的入侵检测结果返回到客户端主机,最后客户端主机根据设备端返回的数据采取具体的措施。
图三是OPM(Open Provenance Model,开放溯源模型)模型图,OPM一共定义了五种类型的依赖关系。其中包含三种结点,结点分别表示:
(1)Artifact:生成的结果,是不可变的状态并在计算机中有数字表示,在图3中用A表示。
(2)Process:进程,引起结果的一系列操作并产生新的结果,在图3中用P表示。
(3)Agent:代理,作为进程执行的上下文实体,控制或影响进程的执行,在图3中用Ag表示。
五种类型的依赖关系分别表示:
(1)used依赖关系:
一个进程使用了某个生成的结果。
(2)wasGeneratedBy依赖关系:
一个生成的结果由某个进程产生。
(3)wasControlledBy依赖关系:
一个进程由某个代理控制。
(4)wasTriggeredBy依赖关系:
若不知道进程P2使用的确切结果,但有另一个进程P1生成的某些结果。进程P2由P1触发。
(5)wasDerivedFrom依赖关系:
即使结果A2可能由使用另外结果的进程产生,但并不会告诉A2具体依赖于哪个结果。因此为了显示依赖性,就需要断言A2由另一个结果A1导出的。本发明中生成的结果即为文件对象。
图四是入侵检测算法流程图,一共包含了五个步骤:
(1)通过溯源信息收集方法来获取程序所产生的溯源信息记为D。
(2)将溯源信息的转化为对应的依赖关系,D={De1,De2,De3,……Den}。
(3)判断每一个依赖关系是否属于规则库,如果属于规则库则认为是正常活动,如果不属于规则库则进行步骤(4)。
(4)依赖关系属于规则库的可疑度为0,依赖关系不属于规则库的可疑度为1,然后查找长度为L的路径(De1,De2,De3,……DeL)(路径是指Dei的子节点等于Dei+1的父节点)定义该段路径的判决值
Figure BDA0001464285660000071
的可疑度/L。
(5)设定一个判决值阈值T,判决值阈值T为常数,如果某条路径的判决值大于该阈值则认为该活动是异常活动,如果小于该阈值则认为该活动是正常活动,一旦发现了可疑活动系统应该及时做出相应的应对措施,防止入侵行为继续发生,进一步损害系统和用户数据的安全。
图五是主动对象存储系统上的入侵检测流程,主动存储技术能在海量数据的情况下提高入侵检测的效率,保证系统安全。其流程如下:
(1)在客户端主机上收集正常应用程序的溯源信息;
(2)利用主动对象存储系统中客户端和服务器端的信息传输通道将溯源信息封装成为用户对象传输到设备端;
(3)每台设备端利用基于溯源信息的入侵检测算法生成正常应用程序的规则库;
(4)实时收集应用程序产生的溯源信息,根据部署的设备端的数量,将收集到的溯源信息均匀地分发到每台设备端,利用对象存储系统中设备端的计算能力同时对客户端主机的情况进行分析;
(5)将每台服务器端的检测结果返回给客户端主机,然后根据每台服务器端的检测结果做出相应的部署,如果每台服务器都没有检测出入侵行为则认为此时客户端主机是安全的,如果服务器端返回的结果当中有一个或者多个存在入侵行为的话则认为此时客户端主机正在受到入侵行为的破坏,客户端应该及时反馈。
本领域的技术人员容易理解,以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。

Claims (3)

1.一种主动对象存储系统上的入侵检测方法,其特征在于,包括如下步骤:
(1)使用主动对象存储系统中的审计功能监控应用程序,获取审计日志信息,根据审计日志信息得到应用程序调用的系统调用信息;根据系统调用信息得到应用程序的溯源信息;
(2)对溯源信息并行的进行入侵检测,得到检测结果,当检测结果异常时,说明主动对象存储系统被入侵,当检测结果正常时,说明主动对象存储系统安全;
所述系统调用信息包括read系统调用信息、write系统调用信息、fork系统调用信息、open系统调用信息和rename系统调用信息;
所述溯源信息包括used依赖关系、wasGeneratedBy依赖关系、wasControlledBy依赖关系、wasTriggeredBy依赖关系和wasDerivedFrom依赖关系;
所述used依赖关系表示一个进程使用某个生成的结果,
所述wasGeneratedBy依赖关系表示一个生成的结果由某个进程产生,
所述wasControlledBy依赖关系表示一个进程由某个代理控制,
所述wasTriggeredBy依赖关系表示若不知道进程P2使用的确切结果,但有另一个进程P1生成的某些结果,进程P2由P1触发,
所述wasDerivedFrom依赖关系表示即使结果A2可能由使用另外结果的进程产生,但并不会告诉A2具体依赖于哪个结果,因此为了显示依赖性,就需要断言A2由另一个结果A1导出;所述生成的结果即为文件对象;
所述根据系统调用信息得到应用程序的溯源信息包括:
对于read系统调用信息,根据Process_read函数得到进程对象和文件对象的溯源信息为used依赖关系,used依赖关系表示进程对象依赖于文件对象;
对于write系统调用信息,根据Process_write函数得到进程对象和文件对象的溯源信息为wasGeneratedBy依赖关系,wasGeneratedBy依赖关系表示文件对象依赖于进程对象;
对于fork系统调用信息,根据Process_fork函数得到进程对象和进程对象的溯源信息为wasTriggeredBy依赖关系,wasTriggeredBy依赖关系表示一个进程对象依赖于另外一个进程对象;
对于open系统调用信息,根据Process_open得到进程对象和文件对象的溯源信息为used依赖关系,used依赖关系表示进程对象依赖于文件对象;
对于rename系统调用信息,根据Process_rename得到进程对象和文件对象的溯源信息为wasDerivedFrom依赖关系,wasDerivedFrom依赖关系表示一个文件对象依赖于另外一个文件对象。
2.如权利要求1所述的一种主动对象存储系统上的入侵检测方法,其特征在于,所述步骤(1)还包括删除重复的溯源信息,消除溯源信息中的循环。
3.如权利要求1或2所述的一种主动对象存储系统上的入侵检测方法,其特征在于,所述入侵检测的具体实现方式为:
根据正常溯源信息建立规则库,判断溯源信息是否属于规则库,如果属于规则库则认为是检测结果正常,如果不属于规则库则根据溯源信息查找多条路径,得到每条路径的判决值,如果某条路径的判决值大于判决值阈值则认为该条路径的活动是异常活动,检测结果异常,如果某条路径的判决值小于判决值阈值则认为该条路径的活动是正常活动。
CN201711118351.2A 2017-11-10 2017-11-10 一种主动对象存储系统上的入侵检测方法 Active CN107920067B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711118351.2A CN107920067B (zh) 2017-11-10 2017-11-10 一种主动对象存储系统上的入侵检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711118351.2A CN107920067B (zh) 2017-11-10 2017-11-10 一种主动对象存储系统上的入侵检测方法

Publications (2)

Publication Number Publication Date
CN107920067A CN107920067A (zh) 2018-04-17
CN107920067B true CN107920067B (zh) 2020-05-19

Family

ID=61895489

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711118351.2A Active CN107920067B (zh) 2017-11-10 2017-11-10 一种主动对象存储系统上的入侵检测方法

Country Status (1)

Country Link
CN (1) CN107920067B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108733539B (zh) * 2018-05-24 2021-08-10 郑州云海信息技术有限公司 一种停止osd服务的方法、装置、系统及可读存储介质
CN109639726A (zh) * 2018-12-31 2019-04-16 微梦创科网络科技(中国)有限公司 入侵检测方法、装置、系统、设备及存储介质
CN112241243B (zh) * 2020-10-19 2024-01-26 北京计算机技术及应用研究所 一种主动对象存储系统的实现方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103226675A (zh) * 2013-03-20 2013-07-31 华中科技大学 一种分析入侵行为的溯源系统及方法
WO2015062536A1 (en) * 2013-11-01 2015-05-07 Hangzhou H3C Technologies Co., Ltd. Data processing
CN105323247A (zh) * 2015-10-13 2016-02-10 华中科技大学 一种用于移动终端的入侵检测系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8176178B2 (en) * 2007-01-29 2012-05-08 Threatmetrix Pty Ltd Method for tracking machines on a network using multivariable fingerprinting of passively available information

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103226675A (zh) * 2013-03-20 2013-07-31 华中科技大学 一种分析入侵行为的溯源系统及方法
WO2015062536A1 (en) * 2013-11-01 2015-05-07 Hangzhou H3C Technologies Co., Ltd. Data processing
CN105323247A (zh) * 2015-10-13 2016-02-10 华中科技大学 一种用于移动终端的入侵检测系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
《溯源的高效存储管理及在安全方面的应用研究》;谢雨来;《中国博士学位论文全文数据库 信息科技辑》;20150228;I137-1参考第4章至第6章 *

Also Published As

Publication number Publication date
CN107920067A (zh) 2018-04-17

Similar Documents

Publication Publication Date Title
US11423146B2 (en) Provenance-based threat detection tools and stealthy malware detection
US10909241B2 (en) Event anomaly analysis and prediction
EP3152869B1 (en) Real-time model of states of monitored devices
Abdelhamid et al. Incremental frequent subgraph mining on large evolving graphs
US9813450B1 (en) Metadata-based verification of artifact quality policy compliance
JP2016533564A (ja) システムコンポーネントの状態を相関させるイベントモデル
WO2017152877A1 (zh) 网络威胁事件评估方法及装置
JP2021060987A (ja) コンピュータネットワークにおけるデータ効率のよい脅威検出の方法
CN107920067B (zh) 一种主动对象存储系统上的入侵检测方法
US20230007014A1 (en) Detection of replacement/copy-paste attacks through monitoring and classifying api function invocations
Ruan et al. Parallel and quantitative sequential pattern mining for large-scale interval-based temporal data
Las-Casas et al. A big data architecture for security data and its application to phishing characterization
CN115514558A (zh) 一种入侵检测方法、装置、设备及介质
CN112287339A (zh) Apt入侵检测方法、装置以及计算机设备
Komisarek et al. Real-time stream processing tool for detecting suspicious network patterns using machine learning
RU180789U1 (ru) Устройство аудита информационной безопасности в автоматизированных системах
CN112287340B (zh) 用于终端攻击的取证溯源方法、装置、计算机设备
KR102311997B1 (ko) 인공지능 행위분석 기반의 edr 장치 및 방법
Liu et al. RAPID: Real-Time Alert Investigation with Context-aware Prioritization for Efficient Threat Discovery
CN115658635A (zh) 日志分析方法及装置
CN114915485A (zh) 基于ueba的异常行为分析方法及装置
Al Fahdi et al. Towards an automated forensic examiner (AFE) based upon criminal profiling & artificial intelligence
Cui et al. User Behavior Auditing in Electric Management Information System based on Graph Clustering
US20190121973A1 (en) System and method for detecting security risks in a computer system
Rathod et al. AI & ML Based Anamoly Detection and Response Using Ember Dataset

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant